有关秘密共享应用程序Whisper的匿名性的担忧 回到新闻中,而该公司再次建议’不可能追踪用户’ exact location. 那里’只是一个问题:’几乎可以肯定是不正确的。

需要明确的是:Whisper强烈否认它会精确跟踪用户。但是那’s not the same thing as saying it 能够’t.

也可以看看: 耳语’s用户毕竟不是那么匿名

去年十月,《卫报》 引发一场隐私大风暴 一系列报告声称Whisper监视用户的下落,甚至是那些专门选择不使用位置共享的下落,并且可以跟踪其位置 在500米半径内. Whisper知道并存储其用户这一事实引起了轩然大波’ “IP地址“—标识互联网上计算机或智能手机的数字标签。

当时,Whisper承认可以访问并存储用户IP地址,但对《卫报》提出异议’的特定主张是它使用它们来查明用户位置。然后在星期三,《卫报》 发表澄清 其原始报告的大部分内容都无法澄清。 It states, in part:

We reported that IP地址 能够 only provide an approximate indication of a person’s whereabouts, not usually more accurate than their country, state or city. We are happy to clarify that this data (which all Internet companies receive) is a very rough and unreliable indicator of location.

在星期三,耳语感谢监护人“发出更正并设置记录。”该公司继续坚持其服务“是并且一直完全致力于保护使用我们产品的每个人的隐私。”

From A 耳语 To A Scream

守护者’但是,澄清本身并不准确:’通过IP地址精确定位许多人并不是很困难。和耳语’自己先前的声明清楚地表明,该服务收集了确定许多用户位置所需的所有数据。

It’只是耳语选择不这样做,而现在显然躲在《卫报》的后面’自己的不准确澄清,进一步掩盖了这个问题。

“IP addresses 能够 提供一个人的下落的确切位置,” says 电子前沿基金会数字公民自由团队的律师Nate Cardozo。那’因为某些IP地址实际上只是松散地连接到特定地理位置,而许多其他IP地址(尤其是与Wi-Fi热点关联的IP地址)却更容易定位。

例如,商业服装 例如Skyhook Wireless 可以根据热点IP地址提供非常具体的位置数据。这些公司已经积累了大型数据库,这些数据库通过直接热点扫描和应用程序协作的组合,将热点位置与它们(以及扩展为连接到Wi-Fi网络的任何人)使用的IP地址相关联“partners”他们会在用户连接时传递来自用户的热点IP数据。

换句话说,如果您通过Wi-Fi连接到Whisper,则Whisper可以使用Skyhook之类的服务来确定您的特定地址,甚至可以确定使用该应用程序时所在的楼层。相比之下,使用运营商连接到应用’的网络只会提供您的一般位置-通常是您所在的城市,州和国家/地区’re。(这似乎是《卫报》在澄清时笨拙地达到的目的。)

“Whisper目前没有,也从未订阅过Skyhook这样的服务,”公司发言人在一封电子邮件中告诉我。那当然会’t禁止Whisper将来这样做。

A Low 耳语

当我要求Whisper进一步澄清时,该发言人拒绝评论除上述声明和提及 2014年10月中号帖子 by 耳语 founder and CEO Michael Heyward.

在该帖子中,Heyward承认Whisper会收集用户IP地址,尽管他说它将在7天后删除它们。他暗示IP地址只能用于“推断您的城市,州和国家/地区,” adding that “[w] e不主动跟踪用户。”

大约在同一时间,Whisper首席技术官Chad 德普提出了类似的观点 在骇客新闻中 公司使用旧的“geoip database”将位置分配给IP地址“如此不准确,以至于令人发笑。”DePue补充说,该公司在将位置信息保存到数据库之前进一步随机化了位置信息。

德普’s post drew this 讽刺反应 来自安全研究Moxie Marlinspike的文章:

那里’之间的巨大差异“can’t” track and “won’t”跟踪。现在你’re claiming “can’t,”听起来像你’re squarely in the “won’t”服务器类别“avert their eyes.”我认为这很容易让人感到不安,尤其是在听起来像公司正在走向数据挖掘的方向时。

Users 能够 prevent apps and websites from tracking their IP-address location data by using a VPN. But 耳语 could also respect the wishes of users who opt out of providing their location to the app—which it has 没做,据《卫报》报道。

联邦军’卡多佐(s Cardozo)这样认为:

如果消费者告诉应用程序不要收集消费者的位置数据,则该应用程序应遵守该决定。 如果应用不遵守该决定,特别是如果它为用户提供了选择,那么我认为这是不公平的。

耳语 says that even for someone who turns off location services, they’re doing rough location. That’s what their privacy policy says. I don’t think that’s appropriate. They don’t need to do geolocation on IP地址. Frankly they don’t need to log IP地址. 那里’s no technical reason they need to do that.

引导图片 钙玫瑰